Developpez.com

Le Club des Développeurs et IT Pro

Linux secoué par une faille de sécurité critique dans glibc

Ghost permet de prendre le contrôle d'un système affecté

Le 2015-01-28 10:59:37, par Hinault Romaric, Responsable .NET
L’écosystème de l’open source est à nouveau secoué par une faille de sécurité critique dans un produit populaire, après les vulnérabilités Heartbleed et Shellshock.

Une nouvelle faille de sécurité aux conséquences désastreuses a été découverte par les chercheurs en sécurité de Qualys dans glibc, la bibliothèque C de base de toutes les distributions Linux.

Baptisée Ghost, la faille permet à un pirate distant de prendre le contrôle complet d’un système affecté, sans avoir la moindre connaissance préalable concernant les références du système. La faille se situe au niveau des fonctions gesthostbyname et gethostbyaddr, qui sont appelées par les distributions Linux lorsqu’elles doivent gérer des connexions réseau. Un pirate peut déclencher un dépassement de mémoire tampon (buffer overflow) dans ces fonctions, en utilisant, par exemple, un argument de nom d’hôte non valide lorsqu’une application effectue une résolution de DNS.

« Il suffit, par exemple, qu’un pirate envoie un mail sur un système Linux pour obtenir automatiquement un accès complet à cette machine », explique Wolfgang Kandek, directeur technique de Qualys. La firme a d’ailleurs mis au point une preuve de faisabilité (PoC) qui permet d’accéder au Shell d’un serveur par le biais d’un mail. Selon Qualys, cette attaque permet de contourner toutes les mesures de sécurité existantes sur le système affecté, dont ASLR , PIE et NX.

La faille est présente dans la version 2.2 de glibc qui date de novembre 2000, soit pratiquement 14 ans. Elle aurait été corrigée depuis le 21 mai 2013, par une mise à jour mineure entre glibc 2.17 et 2.18.

Cependant, le correctif n’ayant pas été classé comme un problème de sécurité, il n’a pas été pris en compte par bon nombre de distributions Linux. De ce fait, les distributions Linux avec un support long terme, dont Debian 7, Ubuntu 12.04, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7, sont vulnérables.

« Compte tenu du nombre de systèmes basés sur glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. », met en garde Qualys, qui invite les utilisateurs à mettre à jour leur distribution Linux dès que l’éditeur aura publié un correctif.

Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.

La firme a également affirmé que le PoC qu’elle a développé sera bientôt intégré dans un plugin Metasploit. « Nous voulons laisser le temps à chacun de patcher. Lorsque les risques d’exploitation auront diminué de moitié, nous allons libérer l’exploit », affirme Qualys.




Source : Qualys

Et vous ?

Que pensez-vous de cette faille ? Croyez-vous que ses conséquences sont exagérées ?
  Discussion forum
6 commentaires
  • SurferIX
    Membre chevronné
    Moi je note principalement une chose :

    Envoyé par Hinault Romaric
    Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.
    Code :
    sudo apt-get upgrade
    et hop on est bon. On compare avec les zero day de Microsoft ?

    Ok ok on est vendredi, j'ai mon ticket de troll.
  • Max Lothaire
    Membre confirmé
    La faille est présente dans la version 2.2 de glibc qui date de novembre 2000, soit pratiquement 14 ans. Elle aurait été corrigée depuis le 21 mai 2013, par une mise à jour mineure entre glibc 2.17 et 2.18.
    Faille corigée plus d'un an avant sa divulgation ?
    Et dire qu'il y en a qui ralent quand on ne leur laisse que 90 jours après découverte...
  • nirgal76
    Membre chevronné
    le correctif n’ayant pas été classé comme un problème de sécurité
    c'est ballot
  • Max Lothaire
    Membre confirmé
    Envoyé par Jipété
    Debian 7 : corrigé, plus d'infos là : https://www.debian.org/security/2015/dsa-3142
    Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.
    C'était déjà précisé.
  • Cyrilange
    Membre averti
    Voilà qui explique pourquoi Microsoft aime Linux maintenant
  • Jipété
    Expert éminent sénior
    Envoyé par Hinault Romaric
    Linux secoué par une faille de sécurité critique
    ...
    Cependant, le correctif n’ayant pas été classé comme un problème de sécurité, il n’a pas été pris en compte par bon nombre de distributions Linux. De ce fait, les distributions Linux avec un support long terme, dont Debian 7, Ubuntu 12.04, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7, sont vulnérables.
    Debian 7 : corrigé, plus d'infos là : https://www.debian.org/security/2015/dsa-3142